作者 主題: [問題]iptables 使用三張網卡發生問題???  (閱讀 2485 次)

0 會員 與 1 訪客 正在閱讀本文。

peteryang

  • 憂鬱的高中生
  • ***
  • 文章數: 105
    • 檢視個人資料
各位先進大家好:
小弟目前在試三張網卡的iptables,目前遇到一個困難,就是重內部到DMZ都可以過,但是從外部要到DMZ卻不能過,小弟是參考石牌國小李老師的去改,但是卻不能從外部連到DMZ,不知是那裡有問題,以下是小弟目前所用的iptables,請各位先進不吝指教,謝謝

代碼: [選擇]

# Generated by iptables-save v1.2.8 on Tue Apr  6 12:49:15 2004
*filter
:INPUT DROP [8416:610384]
:FORWARD DROP [326:15916]
:OUTPUT DROP [0:0]
:icmp_allowed - [0:0]
:tcp_allowed - [0:0]
-A INPUT -d 192.168.1.1 -i eth1 -j ACCEPT
-A INPUT -d 192.168.1.255 -i eth1 -j ACCEPT
-A INPUT -d 10.1.2.251 -i eth2 -j ACCEPT
-A INPUT -d 10.1.2.255 -i eth2 -j ACCEPT
-A INPUT -d 61.222.xxx.xx -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -p tcp -m multiport --dports 135,445,137,138,139 -j DROP
-A FORWARD -p udp -m multiport --dports 135,445,137,138,139 -j DROP
-A FORWARD -i eth2 -j ACCEPT
-A FORWARD -i eth1 -j ACCEPT
-A FORWARD -i eth0 -m state --state RELATED,ESTABLISHED -j ACCEPT
-A FORWARD -s 192.168.1.3 -i eth1 -o eth0 -p udp -m udp --sport 53 --dport 53 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.1.3 -i eth1 -o eth0 -p udp -m udp --sport 1024:65535 --dport 53 -m state --state NEW -j ACCEPT
-A FORWARD -s 192.168.1.3 -i eth1 -o eth0 -p tcp -m tcp --sport 1024:65535 --dport 53 -m state --state NEW -j ACCEPT
-A OUTPUT -s 127.0.0.1 -j ACCEPT
-A OUTPUT -s 10.1.2.251 -j ACCEPT
-A OUTPUT -s 192.168.1.1 -j ACCEPT
-A OUTPUT -s 61.222.xxx.xx -j ACCEPT
-A icmp_allowed -p icmp -m icmp --icmp-type 11 -j ACCEPT
-A icmp_allowed -p icmp -m icmp --icmp-type 8 -j ACCEPT
-A icmp_allowed -p icmp -j DROP
-A tcp_allowed -p tcp -m tcp --tcp-flags SYN,RST,ACK SYN -j ACCEPT
-A tcp_allowed -p tcp -m state --state RELATED,ESTABLISHED -j ACCEPT
-A tcp_allowed -p tcp -j DROP
COMMIT
# Completed on Tue Apr  6 12:49:15 2004
# Generated by iptables-save v1.2.8 on Tue Apr  6 12:49:15 2004
*nat
:PREROUTING ACCEPT [17640:1797914]
:POSTROUTING ACCEPT [12:738]
:OUTPUT ACCEPT [12:738]
:ping_death - [0:0]
:port_scan - [0:0]
:syn_flood - [0:0]
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG NONE -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,RST,PSH,ACK,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,PSH,ACK,URG FIN,SYN,PSH,URG -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags SYN,RST SYN,RST -j DROP
-A PREROUTING -p tcp -m tcp ! --tcp-flags SYN,RST,ACK SYN -m state --state NEW -j DROP
-A PREROUTING -p tcp -m tcp --tcp-flags FIN,SYN,RST,ACK RST -j port_scan
-A PREROUTING -p icmp -m icmp --icmp-type 8 -j ping_death
-A PREROUTING -s 10.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 127.0.0.0/255.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 172.16.0.0/255.240.0.0 -i eth0 -j DROP
-A PREROUTING -s 192.168.0.0/255.255.0.0 -i eth0 -j DROP
-A PREROUTING -s 224.0.0.0/240.0.0.0 -i eth0 -j DROP
-A PREROUTING -s 240.0.0.0/248.0.0.0 -i eth0 -j DROP
-A PREROUTING -d 61.222.xxx.xx -p tcp -m tcp --dport 25 -j DNAT --to-destination 192.168.1.3:25
-A PREROUTING -d 61.222.xxx.xx -p tcp -m tcp --dport 80 -j DNAT --to-destination 192.168.1.3:80
-A POSTROUTING -s 192.168.1.3 -o eth0 -j SNAT --to-source 61.222.xxx.xx
-A POSTROUTING -s 10.1.2.0/255.255.255.0 -o eth0 -j MASQUERADE
-A ping_death -m limit --limit 1/sec --limit-burst 4 -j RETURN
-A ping_death -j DROP
-A port_scan -m limit --limit 1/sec --limit-burst 4 -j RETURN
-A port_scan -j DROP
-A syn_flood -m limit --limit 3/min --limit-burst 3 -j RETURN
-A syn_flood -j DROP
COMMIT
# Completed on Tue Apr  6 12:49:15 2004
# Generated by iptables-save v1.2.8 on Tue Apr  6 12:49:15 2004
*mangle
:PREROUTING ACCEPT [152867:18780921]
:INPUT ACCEPT [218175:17100538]
:FORWARD ACCEPT [19382:7897021]
:OUTPUT ACCEPT [26260:6624488]
:POSTROUTING ACCEPT [19622:7974191]
COMMIT
# Completed on Tue Apr  6 12:49:15 2004

麻煩各位先進了,謝謝

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17430
    • 檢視個人資料
    • http://www.study-area.org
[問題]iptables 使用三張網卡發生問題???
« 回覆 #1 於: 2004-04-06 14:18 »
抓這隻 script 回去跑跑看?
http://www.study-area.org/linux/src/ipt_config.tgz

peteryang

  • 憂鬱的高中生
  • ***
  • 文章數: 105
    • 檢視個人資料
[問題]iptables 使用三張網卡發生問題???
« 回覆 #2 於: 2004-04-06 14:44 »
netman兄你好:
謝謝你的程式,這隻程式太好用了,太感謝你了
不過小弟想請問一下,這隻程式它跑出來是直接用iptables是嗎,還是有產生script檔呢,因為小弟找不到這隻程式產生出的script檔案在那,可以告知嗎??
小弟目前是用iptables-save來看,
另外小弟有個問題想請教,就是小弟沒有用PREROUTING及postrouting來讓封包進來,所以原本的script就無法讓外面的人進來是嗎??
謝謝指教

netman

  • 管理員
  • 俺是博士!
  • *****
  • 文章數: 17430
    • 檢視個人資料
    • http://www.study-area.org
[問題]iptables 使用三張網卡發生問題???
« 回覆 #3 於: 2004-04-06 22:36 »
每有生成 script ,你可用 iptables-save 或 ipt_config.sh save 來存...  ^_^

jou

  • 酷!學園 學長們
  • 俺是博士!
  • *****
  • 文章數: 4989
  • 性別: 男
    • 檢視個人資料
[問題]iptables 使用三張網卡發生問題???
« 回覆 #4 於: 2004-04-07 08:59 »
引述: "peteryang"
另外小弟有個問題想請教,就是小弟沒有用PREROUTING及postrouting來讓封包進來,所以原本的script就無法讓外面的人進來是嗎??

是的,原本的 script 設定真的是很複雜,對於初學者來說,可能增加因難度,而且也不好除錯。

peteryang

  • 憂鬱的高中生
  • ***
  • 文章數: 105
    • 檢視個人資料
[問題]iptables 使用三張網卡發生問題???
« 回覆 #5 於: 2004-04-07 15:33 »
謝謝jou及netman兩位的指導
感恩啦 :D

aaron

  • 活潑的大學生
  • ***
  • 文章數: 212
  • 性別: 男
    • 檢視個人資料
[問題]iptables 使用三張網卡發生問題???
« 回覆 #6 於: 2004-05-07 13:38 »
啊~如果是二條以上的線連INTERNET的話 , 也適用嗎???(有跑run_ip.sh)
^_^
VMware ESXi & VMware Server & XenServer & VirtualBox